Python Paket Dizini (PyPI) deposunda bulunan hareketsiz bir paket, yaklaşık iki yıl sonra Nova Sentinel adı verilen bilgi çalan bir kötü amaçlı yazılımı yaymak üzere güncellendi.
Adı geçen paket django-günlük-izleyici21 Şubat 2024’te kütüphanede anormal bir güncelleme tespit eden yazılım tedarik zinciri güvenlik firması Phylum’a göre, PyPI’de ilk kez Nisan 2022’de yayınlandı.
Bağlantılı GitHub deposu 10 Nisan 2022’den bu yana güncellenmemiş olsa da kötü amaçlı bir güncellemenin ortaya çıkması, geliştiriciye ait PyPI hesabının tehlikeye girme olasılığının yüksek olduğunu gösteriyor.
Django-log-tracker bugüne kadar 3.866 kez indirilirken, hileli sürümü (1.0.4) yayınlandığı tarihte 107 kez indirildi. Paket artık PyPI’den indirilemiyor.
Şirket, “Kötü amaçlı güncellemede, saldırgan paketin orijinal içeriğinin büyük bir kısmını çıkarmış ve geride yalnızca __init__.py ve example.py dosyalarını bırakmıştır” dedi.
Basit ve kendini açıklayan değişiklikler, uzak bir sunucudan (“45.88.180”) “Updater_1.4.4_x64.exe” adlı yürütülebilir dosyanın getirilmesini içerir.[.]54″), ardından Python os.startfile() işlevi kullanılarak başlatılır.
İkili dosya, ilk kez Kasım 2023’te Sekoia tarafından video oyunu indirme olanağı sunan sahte sitelerde sahte Electron uygulamaları biçiminde dağıtıldığı belgelenen, hırsızlığa yönelik bir kötü amaçlı yazılım olan Nova Sentinel ile birlikte geliyor.
“Bu özel vakada ilginç olan şey […] Phylum, saldırı vektörünün ele geçirilmiş bir PyPI hesabı aracılığıyla tedarik zinciri saldırısı girişimi gibi göründüğünü belirtti.
“Bu gerçekten popüler bir paket olsaydı, bu paketin bağımlılık dosyasında bir sürüm belirtilmeden veya esnek bir sürüm belirtilmeden bağımlılık olarak listelendiği herhangi bir proje, bu paketin en son, kötü amaçlı sürümünü çekerdi.”